华讯网络开源软件治理平台:打造供应链安全纵深防御,阻击Sorry勒索攻击

暴露面探测

攻击者在行动初期经过长期的潜伏与信息收集，通过高频次的端口扫描与中间件漏洞探测，识别企业财务系统、物理服务器的防护薄弱点。

漏洞利用与内存驻留

攻击者在主机中植入恶意 HTA文件，通过混淆脚本存储序列化数据。利用服务器组件存在的反序列化漏洞，将内存中的数据直接还原为恶意脚本。由于恶意代码在内存中运行且不产生实体文件，传统的静态杀毒软件往往无法有效识别并拦截。

强加密与抗恢复

1. 内存加载：加载器在内存中解密出真正的核心载荷（DLL文件），并通过反射调用技术直接运行；

2. 定向加密：病毒会迅速搜寻财务数据库、备份文件及各类核心文档，将其后缀统一修改为 .sorry；

3. 彻底锁死：采用 AES+RSA 混合加密体系（仅黑客掌握私钥，目前无公开解密手段），并同步强制删除系统卷影副本（VSS）。这意味着传统的系统还原功能将彻底失效，迫使受害企业支付赎金。

4. 二次入侵：加密完成并不意味着风险终结。攻击者在完成首轮收割后，往往会利用已受控的服务器作为跳板，尝试在企业内网进行横向渗透，进一步扩大攻击范围并实现长期潜伏。

上游漏洞的放大效应

软件供应链上游组件具有高覆盖性，这也使其成为攻击者实现大规模、高效率入侵的首选突破口。企业往往默认信任来自供应商的合法软件，攻击者只需攻克供应链上的一个“核心软件”，利用漏洞的通用性，可进一步实现对下游成百上千家企业的精准打击。

资产黑盒导致响应滞后

许多受灾企业在病毒扩散时，甚至不清楚自己的财务系统里运行着哪些第三方组件，缺乏全面详细的软件物料清单（SBOM），意味着在漏洞爆发的黄金窗口期，企业无法快速定位受影响资产，导致更多资产被加密。

Sorry勒索病毒善于利用第三方软件的安全漏洞进行渗透，因此企业应建立常态化的开源治理体系。华讯网络自研的开源软件治理平台，支持将资产管理与排查纳入日常工作标准流程，能够精准识别开源软件信息及其深层嵌套依赖，通过构建结构化、标准化的软件物料清单（SBOM），助力企业进一步消除开源资产的治理盲区。

同时，基于平台建立的“组件-漏洞-业务系统”双向追溯机制，可形成更高效的应急响应流程，确保在安全事件爆发时，能够快速锁定风险，实现风险的精准封堵。

Sorry勒索病毒的隐蔽性表明，对恶意软件的防御必须前移至“代码生成阶段”。企业应在CI/CD流水线中嵌入自动化安全扫描门禁，形成标准化的源头治理。可通过华讯开源治理平台及配套安全工具，在开发环节自动检测源码及其以依赖组件中的风险项。通过明确的安全门禁指标与管控规范，确保所有上线的软件版本均通过合规性审查与安全校验，从源头上阻断高危组件进入生产环境，形成“标准先行、流程触发、门禁管控”的常态化治理模式。

勒索攻击常以受信任的第三方供应商为跳板，因此对供应商的审计不能仅停留在合同层面。华讯网络具备专业的供应商安全能力评估体系，参考行业权威标准，一方面要求供应商在交付软件时提供配套的安全报告与SBOM文件，另一方面通过技术工具对交付物进行二次核验，评估其产品安全性与研发规范性，确保企业引入的每一款软件产品都可信可控，有效防止上游投毒引发的连锁反应。

除了技术层面的改进，企业还需提升员工的安全意识，目前很多企业员工对于软件供应链安全缺乏了解，企业应定期开展网络安全培训，帮助员工识别钓鱼邮件、恶意文件等常见攻击手段，从源头上减少安全风险。同时，制定并演练应急响应预案，确保在遭受攻击时能够迅速采取措施，最大限度地降低损失。